Cleanup: Updated NEWS.txt
authorOliver Hader <oliver.hader@typo3.org>
Thu, 1 Oct 2009 12:48:10 +0000 (12:48 +0000)
committerOliver Hader <oliver.hader@typo3.org>
Thu, 1 Oct 2009 12:48:10 +0000 (12:48 +0000)
git-svn-id: https://svn.typo3.org/TYPO3v4/Core/trunk@6089 709f56b5-9817-0410-a4d7-c38de5d9e867

ChangeLog
NEWS.txt

index 8442adf..e2bc031 100755 (executable)
--- a/ChangeLog
+++ b/ChangeLog
@@ -8,6 +8,7 @@
 
        * Fixed bug #12071: t3lib_sqlparser is not able to parse alias of a joined table (thanks to Xavier Perseguers)
        * Raised DBAL version from 0.9.21 to 0.9.22
+       * Cleanup: Updated NEWS.txt
 
 2009-10-01  Rupert Germann  <rupi@gmx.li>
 
index e82bdf6..2fe0ae5 100644 (file)
--- a/NEWS.txt
+++ b/NEWS.txt
@@ -32,8 +32,8 @@ General
          that are really required for an accordant application. The performace improves
          dramatically. The PHP files are looked up using a registry file returns a simple array
          mapping PHP class names to accordant file names:
-               + t3lib/core_autoload.php contains all classes in t3lib/tslib or the TYPO3 Core
-               + [extension_key]/ext_autoload.php contains all classes of that TYPO3 extension
+               + t3lib/core_autoload.php contains all classes in t3lib/tslib or the TYPO3 Core
+               + [extension_key]/ext_autoload.php contains all classes of that TYPO3 extension
 
        * Extbase and Fluid integration: Extbase and Fluid are backports from FLOW3 to bring MVC
          and a very flexible templating engine to TYPO3 4.x. Extbase can be used in TYPO3 4.3 for
@@ -41,6 +41,18 @@ General
          FLOW3/TYPO3 5.0 - thus, it's possible to develop future-proof extensions now and migrate
          them easily when TYPO3 5.0 is released.
 
+       * Cookies of frontend and backend sessions can now be used with flags to protect the session id.
+         These settings for 'cookieSecure' and 'cookieHttpOnly' can be defined in the Install Tool:
+               + cookieSecure: Indicates that the cookie should only be transmitted over a secure HTTPS
+                 connection from the client. If set to 1 (force HTTPS), the cookie will only be set if
+                 a secure (HTTPS) connection exists - use this in combination with lockSSL since otherwise
+                 the application will fail and throw an exception! If set to 2, the cookie will be set in
+                 each case, but uses the secure flag if a secure (HTTPS) connection exists.
+               + cookieHttpOnly: When enabled the cookie will be made accessible only through the HTTP
+                 protocol. This means that the cookie won't be accessible by scripting languages, such as
+                 JavaScript. This setting can effectively help to reduce identity theft through XSS attacks
+                 (although it is not supported by all browsers).
+
 Backend
 =======